精华内容
下载资源
问答
  • 软件介绍: 这个视频录像教程非常难得哦!教程内容:打开某一磁盘分区时,提示“磁盘未格式化”,可以在...大小70MB,非常详细,特别对于想学winhex数据恢复的朋友来讲,非常不错!格式为AVI,高清晰,全程语音讲解。
  • winhex数据恢复视频教程,手把手教您数据恢复-附赠软件,让您不再为找不到软件发愁,更不用担心操作步骤不对啦!
  • 数据恢复技术深度揭秘配套光盘中WinHex中文模板文件,一共50个,放在一共压缩包。如有需要,请下载。需要说明的是,此模板必须先导入winhex文件才可以使用。 使用方法:把这些文件解压到winhex的根目录下,然后在...
  • winhex数据恢复完整图文教程》由会员分享,可在线阅读,更多相关《winhex数据恢复完整图文教程(44页珍藏版)》请在人人文库网上搜索。1、winhex数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,...

    《winhex数据恢复完整图文教程》由会员分享,可在线阅读,更多相关《winhex数据恢复完整图文教程(44页珍藏版)》请在人人文库网上搜索。

    1、winhex数据恢复分类:硬恢复和软恢复。所谓硬恢复就是硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的数据或后来恢复里面的数据,这些都叫数据恢复,只不过这些故障有容易的和困难的之分;所谓软恢复,就是硬盘本身没有物理损伤,而是由于人为或者病毒破坏所造成的数据丢失(比如误格式化,误分区),那么这样的数据恢复就叫软恢复。这里呢,我们主要介绍软恢复,因为硬恢复还需要购买一些工具设备(比如pc3000,电烙铁,各种芯片、电路板),而且还需要懂一点点电路基础,我们这里所讲到的所有的知识,涉及面广,层次深,既有。

    2、数据结构原理,为我们手工准确恢复数据提供依据,又有各种数据恢复软件的使用方法及技巧,为我们快速恢复数据提供便利,而且所有软件均为网上下载,不需要我们投资一分钱。数据恢复的前提:数据不能被二次破坏、覆盖!关于数码与码制:关于二进制、十六进制、八进制它们之间的转换我不想多说,因为他对我们数据恢复来说帮助不大,而且很容易把我们绕晕。如果你感兴趣想多了解一些,可以到百度里面去搜一下,这方面资料已经很多了,就不需要我再多说了。数据恢复我们主要用十六进制编辑器:Winhex (数据恢复首选软件)我们先了解一下数据结构:下面是一个分了三个区的整个硬盘的数据结构MBRC盘EBRD盘EBRE盘MBR,即主引导纪。

    3、录,位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了64字节;第三部分:55AA,结束标志,占用了两个字节。后面我们要说的用winhex软件来恢复误分区,主要就是恢复第二部分:分区表。引导代码的作用:就是让硬盘具备可以引导的功能。如果引导代码丢失,分区表还在,那么这个硬盘作为从盘所有分区数据都还在,只是这个硬盘自己不能够用来启动进系统了。如果要恢复引导代码,可以用DOS下的命令:FDISK /MBR;这个命令只是用来恢复引导代码,不会。

    4、引起分区改变,丢失数据。另外,也可以用工具软件,比如DISKGEN、WINHEX等。但分区表如果丢失,后果就是整个硬盘一个分区没有,就好象刚买来一个新硬盘没有分过区一样。是很多病毒喜欢破坏的区域。EBR,也叫做扩展MBR(Extended MBR)。因为主引导记录MBR最多只能描述4个分区项,如果想要在一个硬盘上分多于4个区,就要采用扩展MBR的办法。MBR、EBR是分区产生的。比如MBR和EBR各都占用63个扇区,C盘占用个扇区那么数据结构如下表:636363MBRC盘EBRD盘EBRE盘扩展分区而每一个分区又由DBR、FAT1、FAT2、DIR、DATA5部分组成:比如C盘的数据结构:C 。

    5、盘DBRFAT1FAT2DIRDATAWinhexWinhex是使用最多的一款工具软件,是在Windows下运行的十六进制编辑软件,此软件功能非常强大,有完善的分区管理功能和文件管理功能,能自动分析分区链和文件簇链,能对硬盘进行不同方式不同程度的备份,甚至克隆整个硬盘;它能够编辑任何一种文件类型的二进制内容(用十六进制显示)其磁盘编辑器可以编辑物理磁盘或逻辑磁盘的任意扇区,是手工恢复数据的首选工具软件。首先要安装Winhex,安装完了就可以启动winhex了,启动画面如下:首先出现的是启动中心对话框。这里我们要对磁盘进行操作,就选择“打开磁盘”,出现“编辑磁盘”对话框:在这个对话框里,我们可以。

    6、选择对单个分区打开,也可以对整个硬盘打开,HD0是我现在正用的西部数据40G系统盘,HD1是我们要分析的硬盘,迈拓2G。这里我们就选择打开HD1整个硬盘,再点确定.然后我们就看到了Winhex的整个工作界面。最上面的是菜单栏和工具栏,下面最大的窗口是工作区,现在看到的是硬盘的第一个扇区的内容,以十六进制进行显示,并在右边显示相应的ASCII码,右边是详细资源面板,分为五个部分:状态、容量、当前位置、窗口情况和剪贴板情况。这些情况对把握整个硬盘的情况非常有帮助。另外,在其上单击鼠标右键,可以将详细资源面板与窗口对换位置,或关闭资源面板。(如果关闭了资源面板可以通过“察看”菜单“显示”命令“详细资。

    7、源面板”来打开)。最下面一栏是非常有用的辅助信息,如当前扇区/总扇区数目等向下拉拉滚动条,可以看到一个灰色的横杠,每到一个横杠为一个扇区,一个扇区共512字节,每两个数字为一个字节,比如00。下面我们来分析一下MBR,因为前面我们说过,前446个字节为引导代码,对我们来说没有意义,这里我们只分析分区表中的64个字节。分区表64个字节,一共可以描述4个分区表项,每一个分区表项可以描述一个主分区或一个扩展分区(比如上面的分区表,第一个分区表项描述主分区C盘,第二个分区表项描述扩展分区,第三第四个分区表项填零未用)每一个分区表项各占16个字节,各字节含义如下:(H表示16进制)字节位置内容及含义第1。

    8、字节引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H表示该分区未用06HFAT16基本分区0BHFAT32基本分区05H扩展分区07HNTFS分区0FH(LBA模式)扩展分区83H Linux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数此硬盘的第一分区表(即MBR)分析如下:第一个分区表项(C盘)第1字节80:表示此分区为活动分区;第5字节0B:表示分区类型为Fat32;第9、10、11、12字节 系。

    9、统隐含扇区3F 00 00 00:所谓系统隐含扇区就是本分区(C盘)之前已用了的扇区数,这是一个十六进制数,但要注意:真正的隐含扇区数应该反过来填写(比如:隐含扇区数为3E 4D 5A 6F,则反过来就是6F 5A 4D 3E ,这才是实际的隐含扇区数)。那么,3F 00 00 00反过来写就是00 00 003F,也就是3F,将他转成十进制数我们才能知道实际的隐含扇区数是多大。这可以使用计算器来算,单击工具栏上的“计算器”按钮,如下图:这样就启动了计算器计算器有两种型号,我们要进行进制转换,就要选择“科学型”比如我们要将十六进制3F转换为十进制,就要先选中“十六进制”,然后输入3F再选中“十。

    10、进制”,十六进制3F转为十进制等于63。想一想我们前面所讲的,MBR占用63个扇区,也就是C盘之前已用了的扇区数为63,第64个扇区就是C盘的第一个扇区,但要注意的是,整个硬盘的LBA地址是从零开始的,062的扇区为MBR。第13、14、15、16字节本分区总扇区数(当然,这也就是C盘的大小):C1 E6 15 00,同样,实际的十六进制数也要反过来才对,也就是00 15 E6 C1,将它转换成十六进制数是。给你出个题,你知道D盘的EBR在哪个扇区吗?我们一起来算一下,还记得前面数据结构那个表吗?C盘后面不就是D盘的EBR吗?D盘EBR的第一个扇区=MBR+C盘的大小,也就是 63+=。我们来。

    11、看看对不对,单击工具栏上的“转到扇区”按钮,出现一个“转到扇区”对话框然后输入,再点“确定”,就到了扇区了(你可以使用它再转回到0扇区)这个就是D盘的EBR,也就是D盘的分区表了,怎么知道的呢?因为MBR和EBR的结构是完全一样的,都是占用了63个扇区,但只用了第一个扇区,其余62个扇区填零不用。第一个扇区前446个字节都为引导代码,后64个字节为分区表,最后2个字节为55AA结束标志。因为EBR不是活动分区,不需要引导代码,所以前446个字节为零。还有另一种方法直接找到D盘的EBR,单击“访问”下拉按钮“分区二”“分区表”,直接就到扇区.这样,分区表中的第一个分区表项共十六个字节分析完毕,下。

    12、面我们再来看看第二个分区表项(扩展分区)。第1字节00:表示非活动分区第5字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前的扇区数(扩展分区前面也就是MBR和C盘,好像我们前面算过这个数?)同样,先将它反过来,就是00 15 E7 00 ,再转为十进制是,看来我们前面真的算过这个数。第13、14、15、16字节40 09 29 00:本分区的总扇区数。也就是扩展分区的总扇区数。转为十进制应该是。想一想,用这个数加上前面的,不正好是整个硬盘的总扇区数吗?这样,如果分区表被破坏,我们只要把这些数值都计算出来并填上,分区表不就恢复了?那么,这里我们为什么不分析第2、。

    13、3、4字节(本分区的起始磁头号、扇区号、柱面号)和第6、7、8字节(本分区的结束磁头号、扇区号、柱面号)呢?这是因为C/H/S(柱面/磁头/扇区)是老式硬盘的寻址方式,这种寻址方式来管理硬盘效率很低;而现在几乎所有的硬盘都支持LBA(全称是Logic Block Address,即扇区的逻辑块地址)寻址方式,这种管理方式简单高效。在LBA方式下,系统把所有的物理扇区都统一编号,按照从零到某个最大值排列,这样只用一个序数就确定了一个唯一的物理扇区。小知识:具体一个硬盘有多少个LBA(扇区)不需要我们去记忆,因为用各种工具软件(如MHDD WINHEX等)都可以检测到。我们只要知道个大概就行了:如。

    14、10G的硬盘大概有2000万个扇区;20G的硬盘大概有4000万个扇区;40G的硬盘大概有8000万个扇区那么,2G的硬盘大概有400万个扇区。那么,你可能要问了:如果要恢复分区表,这个起始磁头号、扇区号、柱面号还有结束磁头号、扇区号、柱面号应该怎么填呢?简单得很,在后面恢复分区表的时候我会告诉你,直接填,都不用计算。还有兴趣来分析一下D盘的EBR吗?其实D盘的EBR和盘的EBR我们不分析也罢,因为无非也是分区表,跟MBR的结构是一样的,但却很容易把我们绕晕,又因为EBR一般不容易被破坏,所以我不建议分析EBR。但如果你一定要分析,那就分析吧。单击“访问”下拉按钮“分区二”“分区表”,直接就到。

    15、扇区,即D盘的分区表EBR。第一个分区表项(D盘):第1个字节00:表示非活动分区第5个字节06:表示FAT16分区第9、10、11、12字节3F 00 00 00:本分区之前已用了的扇区数,也就是EBR的数目,63个。第13、14、15、16字节C1 E6 15 00:本分区的总扇区数,也就是D盘的扇区数,先反过来排列就是00 15 E6 C1,转为十进制就是。第二个分区表项(D盘后面的):第1个字节00:表示非活动分区第5个字节05:表示扩展分区第9、10、11、12字节00 E7 15 00:本分区之前已用了的扇区数,也就是D盘的EBR加D盘总共的大小, 63+=第13、14、15、16。

    16、字节40 22 13 00:本分区的总扇区数,,也就是E盘的大小再加上一个EBR的数目。单击“访问”下拉按钮“分区三”“分区表”,直接就到扇区,即E盘的分区表EBR。因为E盘后面没有分区了,所以没有第二个分区表项。这里我们就不再研究了,有兴趣的话可以自己多备一块硬盘作从盘,然后自己分分区研究研究。通过以上的研究我们总结一下,MBR在定义分区的时候,将多余的容量定义为扩展分区,指定该扩展分区的起止位置,根据起始位置指向硬盘的某一个扇区,作为下一个分区表项,接着在该扇区继续定义分区,如果只有一个分区,就定义该分区,然后结束;如果不止一个分区,就定义一个基本分区和一个扩展分区,扩展分区再指向下一个分。

    17、区描述扇区,在该分区上按照上述原则继续定义分区,直至分区定义结束。这些用来描述分区的扇区形成一个“分区链”,通过这个分区链,就可以描述所有的分区。系统在启动时按照分区链的连接顺序查找分区,直至找出所有分区。这个链显然是个开链结构,如果形成一个环,系统本身并不会去判断它,它只是按照这个链忠实的查找分区,而不进行任何额外的检测与处理。所谓硬盘逻辑锁,就是让分区链形成一个环,这样系统在启动时就在分区表内循环,表现为系统无法引导,就是从软盘启动,也不能进入硬盘。明白了其结构原理,解决这个问题就简单了,目前有很多种方法解决这个问题,后面我们还会讲到。系统就是利用这种方法使一个硬盘分区后看起来象多个硬盘。。

    18、系统能够找到C盘以外的其他逻辑盘的唯一办法就是,沿着EBR所描述的分区链查找分区。其实,通常情况下EBR是不会被破坏的,或者破坏的几率极低极低,通常情况下,都是只有MBR被破坏,那么这种情况下,我们只要把MBR的分区表64个字节复原,其他的分区顺着分区表所提供的链自然而然就出来了。那么,如何才能将分区表复原呢?这就要通过计算结合Winhex强大的功能来实现了。下面我们就来模仿分区表被病毒破坏的情况,将MBR全部填零。我们首先将MBR所在的扇区选中。鼠标指向第一个字节,单击右键,选择“选块开始”然后鼠标指向MBR的最后一个字节,单击右键,选择“选块结尾”然后我们在选区内部单击鼠标右键,选择“编辑。

    19、”这样就有出来一个菜单然后我们选“填充选块”,这样就出来一个填充选块对话框在“用十六进制填充”的输入框中输入“00”,再点“确定”这样MBR所在扇区全部被我们填充为“00”如果想取消选区,那就用鼠标拖动随便选中一块区域,那么原来的选区就会取消。注意,如果扇区数据被修改了而没有存盘就会变为别的颜色。修改了扇区,这时候还没有存盘生效,如果你想存盘生效的话,就选择“文件”菜单“保存扇区”命令。这时候就会出现一个提示,如果你不想存盘了就点取消,如果想存盘,就点确定,再点是。好,这样就存盘了,扇区被修改的数据又变为黑色。这样我们就把分区表给删除了,这时候必须重新启动才能生效,如果你打开我的电脑,会发现三。

    20、个分区(F 、G、 H)还在那里,并且里面的数据还能正常使用。现在,我们关闭所有程序将电脑重新启动经过不长时间的等待,电脑启动起来了,我们打开我的电脑看看,发现F 、G 、H三个分区不见了。再打开Winhex发现MBR全部为零了,下面我们就着手开始手工恢复分区表首先恢复引导代码,这最简单了,只要用Winhex到别的系统盘把引导代码复制过来就行了。我现在的机器上不是挂着两个硬盘吗?一个迈拓2G,一个西数40G,西数40G是我的系统盘,那就从这个盘上复制就行了。单击“磁盘编辑器”按钮出现“编辑磁盘”对话框选择“HD0 WDC WD400EB-00CPF0”,点“确定”这样我们就把系统盘的分区表给打。

    21、开了,注意,现在我们是打开了两个窗口,当前的窗口是“硬盘0”,在标题栏上有显示。另外,打开窗口菜单也能看出来,当前窗口被打上一个勾,如果想切换回原来的窗口,就点击“硬盘1”。首先选中系统盘的引导代码然后在选区中单击鼠标右键,选“编辑”又出来一个菜单,然后我们选“复制选块”“正常”然后我们切换回硬盘1窗口,在零扇区的第一个字节处单击鼠标右键,选“编辑”然后选“剪贴板数据”“写入”出现一个窗口提示,点“确定”这样,我们就把一个正常系统盘上的引导代码复制过来了。下面,我们就开始恢复分区表(共64个字节,分为4个分区表项,每个分区表项占用16个字节,一般只使用前两个分区表项),我们首先来恢复第一个分区。

    22、标项(也就是用来描述C盘的)。首先,在第1个字节处(0扇区倒数第五行,倒数第二个字节)填上分区引导标志,因为C盘是活动分区,所以填上80。接着是第2、3、4字节(本分区起始磁头号、扇区号、柱面号),填上:01 01 00。第5字节是分区类型符,因为原先C盘是Fat32格式,所以填上:0B。那么,如果你不知道C盘是什么格式怎么办呢?你会说问问客户呀,那么如果他也不知道呢?别着急,后面在说恢复DBR的时候我会教你怎么分辨分区的格式。第6、7、8字节是本分区的结束磁头号、扇区号、柱面号,这怎么知道呢?别着急,现在的磁盘都是按照LBA方式寻址,并不按照C/H/S(及柱面、磁头、扇区)方式寻址,所以这个。

    23、地方你填些什么一般关系不大,但是我要告诉你有一个通用的填法,那就是:FE FF FF。第9、10、11、12字节,本分区之前已用了的扇区数,也就是MBR所占用的扇区数,那不是63吗?对,但是要将63转为十六进制数,再反过来倒着填写上。还记得怎么用计算器吗?将63转为十六进制数是3F,不够四个字节前面加零,也就是00 00 00 3F,再将此数从右向左依次序反过来就是3F 00 00 00。第13、14、15、16字节是本分区的总扇区数,也就是C盘的大小,这就要通过稍微一点点计算来得到了。因为C盘是从第63个扇区开始,而C盘后面紧接着的是EBR,所以用EBR所在的第一个扇区数减去63就是C盘的大。

    24、小。那么如何才能找到EBR所在的第一个扇区呢?我们前面说过,EBR的结构和MBR是一样的,所以,EBR的结束标志也一定是55AA,那么,只要我们找到这个结束标志,再看看这个扇区是不是EBR不就行了?单击“搜索”“查找十六进制数值”,然后出来一个对话框在文本框中输入“55AA”,搜索框中选“全部”,然后选中“条件”,把偏移量设置为“512=510”。再单击“确定”。画面如下:首先找到第一个“55AA”,我们看到,个扇区在第63个扇区上,并不是我们要找的EBR,再按F3继续查找又找到好几个扇区,都不是,那么下面这个扇区是不是?前面我们说过,EBR的结构和MBR的结构是一样的,所以在倒数第五行倒数第。

    25、二个字节应该是00 01,并且前446个字节应该是0,显然这也不是EBR,继续按F3查找终于找到了真正的EBR,在扇区。小技巧:现在的硬盘都比较大,要逐个扇区的查找55AA确实太慢了,那么有没有办法快点呢?有,那就是先问问客户C盘大概有多大,大多数客户还是知道的,比如他说C盘大概有10个G,那么你就不要从头开始找了,因为那实在太慢了。10个G大概是2000万个扇区,那么你可以用转到扇区命令直接到1900万扇区,从那个地方再开始找不就省事多了。用减去63,得到,再转为16进制,就是15E6C1,将他倒转过来就是C1E61500,这就是C盘的大小。这样,第一个分区表项填写完毕,我们保存一下,再接着。

    26、填写第二个分区表项。第二个分区表第1个字节:因为是非活动分区,所以写00第2、3、4字节,填写01 01 00(通用的)第5字节:因为是扩展分区,所以填写0F第6、7、8字节:填写FE FF FF(通用)第9、10、11、12字节是本分区之前已用了的扇区数,应该就是C盘大小加63,也就是,前面刚计算出来的,转为十六进制数再反过来就是00 E7 15 00第13、14、15、16字节是本分区的总扇区数,也就是扩展分区的总扇区数,也就是用整个硬盘的大小减去C盘的大小再减去63,即-63=,转为十六进制就是,反过来就是。这样,第二个分区表项就填写完了。不要忘了把最后的结束标志55AA填上,这样,MB。

    27、R就全恢复完了,最后,保存,再重新启动启动完毕,迫不及待的打开我的电脑,发现三个分区全部又回来了,并且里面的数据完好无损。再右击“我的电脑”,选“管理”出现一个对话框,选“磁盘管理”,在右边可以看到磁盘一的三个分区(Fat32、Fat16、Ntfs)全部都回来了,至此,手工恢复分区表顺利完成。手工恢复数据恢复成功率比较高,而且比较有趣味和挑战性,能找回许多傻瓜似的软件所找不回来的文件,但是要求工程师一定要有耐性,而且一定要保持清醒,清楚自己正在操作什么,操作完了会有什么后果,能不能退回到上一步状态。特别是对一些破坏性操作,一定要考虑周到,只要条件允许,就一定要在操作之前进行备份,否则会造成“血”的教训,切记!下面我们会说到手工恢复DBR、FAT(此教程被收录在付费教程中),这些比手工恢复分区表还要复杂,更需要大量的计算。再说完了使用Winhex手工恢复数据之后,我们会说到一些数据恢复软件,结合数据恢复软件会使数据恢复成功率大大提高,但有一些软件在扫描过程中会对原盘破坏数据,在使用中一定要谨慎!而且同一个软件,一个新手用和一个老手用数据恢复成功率绝对是不一样的,这些软件我们会免费赠送,绝对不会让你学习了资料却找不到软件的。

    展开全文
  • winhex数据恢复教程

    2018-10-29 12:32:21
    本资源内容包括: 1.数据恢复基础课 2.FAT32数据恢复 3.NTFS数据恢复 4.EXFAT数据恢复 5.分区表数据恢复 6.数据恢复综合案例 本资源文件过大,上传乃是下载链接!!!
  • WinHex应用与数据恢复

    2018-04-07 10:13:14
    本书以WinHex 的功能模块为线索,看似讲述操作技法,实则探讨数据恢复技术的研究思路,旨在拓 宽读者视野,引发读者的兴趣,适合数据恢复工程师、数据恢复程序员、数据恢复研究人员、高校教师、 电子取证工程师、...
  • 数据恢复winhex教程

    2008-11-30 21:33:35
    数据恢复winhex教程,word,2m
  • winhex数据恢复教程从入门到精通.pdf
  • winhex 数据恢复

    2018-01-14 15:45:14
    winhex应用指南 数据恢复技术 及其开发技术 winhex应用指南 数据恢复技术 及其开发技术 winhex应用指南 数据恢复技术 及其开发技术
  • 数据恢复这一块,在高中的时候略知一二,我在高中的时候就把硬盘搞坏过(调试代码,把硬盘的引导区"搞坏了")我用了半个多月学习数据恢复,这块对我来说很有价值的硬盘才算是修复(里边有我小到现在的照片和生活的...

    前语

    打算把我原来的笔记都记到这里,方便以后的学习。
    我比较喜欢把复杂的东西简单化,方便以后理解吧,说白了就是了解了一个事务后,在回过头来直接可以知道我当时对事物的了解,方便日后阅读吧。
    这次的笔记是数据恢复和硬件维护,这个比赛我特别喜欢,比如说让我找电路板的错误所在,我觉得还还是很擅长的。数据恢复这一块,在高中的时候略知一二,我在高中的时候就把硬盘搞坏过(调试代码,把硬盘的引导区"搞坏了")我用了半个多月学习数据恢复,这块对我来说很有价值的硬盘才算是修复(里边有我小到现在的照片和生活的点点滴滴),也是略知一二。
    书写这一本笔记,用作数据恢复和硬件修复的内容,希望在后者看到这份笔记后可以更好的学习数据恢复以及硬件恢复。
    几位指导老师的加入,也让我们这个团队变得越来越强!!
    这本笔记是我学习数据恢复和硬件维护边学习边写的,有问题请老师和同学指出!!!

    每个章节---->1.学习部分笔记(可会凌乱) 2.干货部分(精华) 3.实践部分 4.知识点(要记的知识点)

    编者:吴金昌 QQ:1285574579.
    .
    我的头像

    展开全文
  • elephant.jpg不能打开了,利用WinHex修复 原本我们是打不开图片的 那我们就想一想怎么办呢,这里有一个解决办法: 首先我们可以使用010Editor这个软件对图片进行修复,因为我们发现这个文件头不符合jpg的开头格式,...

    elephant.jpg不能打开了,利用WinHex修复

    原本我们是打不开图片的在这里插入图片描述
    那我们就想一想怎么办呢,这里有一个解决办法:
    在这里插入图片描述
    首先我们可以使用010Editor这个软件对图片进行修复,因为我们发现这个文件头不符合jpg的开头格式,通过百度jpg的开头格式修改之后再另行保存就可以看到原本的图片啦
    最后我们就能打开图片,看到它表现的东西啦![在这里插入图片描述

    笑脸背后的阴霾:图片smile有什么隐藏信息

    同样的原理,我们将这张笑脸的图片用010Editor打开在这里插入图片描述

    发现里面有很多的FF,但是在最后一行有一些不同的地方在这里插入图片描述
    这就是我们要找的隐藏信息啦

    尝试使用数据恢复软件恢复U盘中曾经删除的文件

    其实数据恢复软件是有在线工具的,我们从强大的百度浏览器里搜索一个就可以啦在这里插入图片描述
    从中选择需要恢复的文件或者图片就可以了

    实验总结

    通过对本次实验的总结我们可以学习到如下内容:

    Google语法在信息搜索中的应用
    图像信息提取能力(百度地图的充分利用)
    Nmap常用操作
    Winhex或者010 Editor等16进制软件的使用(文件修复,查看隐藏信息)
    其实最最最重要的技能是学会不懂得知识上网百度搜索,百度的功能是非常强大的
    通过这些内容我们可以对网络扫描和网络侦查有一个很好的了解。

    展开全文
  • FSINFO扇区数据结构 短文件名目录项数据结构 第长文件名目录项 标准子目录格式 ※公式区 注意事项: 规律 1块物理硬盘 MBR分区(引导系统;DPT(分区表)硬盘内部参数) DBR扇区 MBR扇区 DBR扇区结构 ...

    目录

     

    1块物理硬盘

    MBR扇区

    DBR扇区结构

    FSINFO扇区数据结构

    短文件名目录项数据结构

    第长文件名目录项

    标准子目录格式

    ※公式区

    注意事项:

    规律


    1块物理硬盘

    MBR分区(引导系统;DPT(分区表)硬盘内部参数)

    DBR扇区

    MBR扇区

     

    DBR扇区结构

    偏移(16进制)

    描述

    偏移(16进制)

    描述

    00-02

    转跳指令(EB5890)

    24-27

    FAT表的大小

    0B-0C

    每扇区字节数

    2C-2F

    根目录所在的簇号

    0D

    每簇扇区数

    0E-0F

    FAT表的起始扇区号

    10

    FAT表个数

    32-33

    DBR的备份扇区位置

    1C-1F

    隐含扇区(0到DBR的扇区)

    20-23

    文件系统的总扇区数

    FSINFO扇区数据结构

    偏移(16进制)

    描述

    偏移(16进制)

    描述

    00-03

    扩展引导标志“RRaA”

    1E4-1E7

    签名标志“rrAa”

    1E8-1EB

    空闲簇数

    1EC-1EF

    下个可用簇

    1F0-1FD

    未使用

    1FE-1FF

    “55AA”标志

    短文件名目录项数据结构

    偏移(16进制)

    描述

    00-0A

    文件名的ASCII码

    0B-0B

    文件属性 0x01:只读 ;0x00读、写;0x02隐藏;0x04系统

    0x08:卷标;0x10目录;0x20:存档;0x0F长文件名

    14-15

    起始簇的高16位

    1A-1B

    起始簇的低16位

    1C-1F

    文件的大小字节数

    第长文件名目录项

    偏移字节(16进制)

    描述

    00-00

    状态码(E5:删除  ;01 表示目录项序号 ;42 前面的4表示最后一个目录项,后面的2表示序号为2的目录项)

    01-0A

    长文件名的第1-5个字符

    0B-0B

    长文件名目录项的标志0x0F

    0C-0C

    保留

    0E-19

    文件名的第6-11个字符

    1C-1F

    文件名的第12-13个字符

    标准子目录格式

    2E 2E 20 20 20 20 20 20 20 20 20 3F 3F 3F 3F 3F 3F 3F 3F 3F 00 00 3F 3F 3F 3F 3F 00 00

    00 00 00 00 表示根目录下的位置

    ※公式区

    • 1、字母、英文和数字占一个字节; 2、中文占一个字符,也就是两个字节
    • 1个簇=32扇区=16KB,1扇区=0.5KB
    •  2位16进制=1个字节
    • 每个字节有8Bit;每个FAT表项占4个字节;每个扇区大小512字节;
    • FAT2的起始扇区号=FAT1的起始扇区号(0E-0F)+FAT表大小(24-27)  
    • 根目录的位置计算公式: FAT的起始扇区号(0E-0F)+ FAT表的大小(24-27) * 2
    • 起始簇号 = 低16位的数值(1A-1B)+(高16位的数值(14-15) *65536)
    •  

    注意事项:

    • 在输入十六进制文件名ANSI码时候全部大写,通过(0C)位改变显示大小写

    规律

    1. 硬盘RAW
      1. 直接修复DBR
        1. 6号扇区有本分的DBR
        2. 创建新的磁盘复制DBR填入有关数据
      1. image.png

    关键阐述:

    0D:每个簇的扇区数

    0E-0F:FAT表起始扇区号

    20-23:文件的总扇区大小-----左下角Winhex界面

    24-27:FAT表大小

    相关参数计算:

          1. 查询FAT表
          2. F8FFFF0 定位FAT表开头
          3. 记录    FAT表1头 AND FAT表2头
          4. FAT表大小=FAT表2头 - FAT表1头
          5. 根目录位置=FAT表2头+FAT表大小
          6. 一共用的簇= 总扇区-根目录位置扇区
          7. 一共的FAT表项目=FAT表大小*每个扇区 128个表项目
          8. 簇大小=总扇区数/一共的FAT表项目

     

     

    展开全文
  • 实战课是实际演示数据恢复过程,实战课会用课堂练习.vhd和课后练习.vhd 这两个虚拟磁盘镜像文件,您可以把这两个文本在自己的电脑加载然后,自己动手恢复一遍。如果能一次性恢复成功好,如果恢复不出来,那么再看...
  • winhex数据恢复技术深度揭秘!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  • 一、数据恢复就是寻找有价值的东西,其本质是数据定位,检索技术。存在的有迹可循,毁灭的无影无踪。这就譬如说,一本撕烂的书输的目录不见了,但是内容全在,我们就可以读到内容,但是内容不存在了,也就无法在找到...
  • 软件版本为winhex19.8官方版,作为一款强力数据恢复软件,可以对硬盘,固态,以及内存进行数据恢复以及取证,同时含有强大的磁盘镜像功能,以及文件分割与合并
  • WinHex数据恢复功能强大,可以从硬件簇上扇区进行数据扫描恢复。首先对winhex的各个功能介绍。之后对实例记录一个Word文档删除后进行恢复。 1、WinHex数据恢复软件的编辑区输入与其他普通文本输入一样,选定一个...
  • WINHEX数据恢复教程

    2017-09-22 09:38:50
    运用WINHEX软件做数据恢复的详细教程,可以做删除恢复,也可以做格式化恢复,底层恢复技术,快速恢复,找回数据不难
  • 本书以WinHex的功能模块为线索,看似讲述操作技法,实则探讨数据恢复技术的研究思路,旨在拓宽读者视野,引发读者的兴趣,适合数据恢复工程师、数据恢复程序员、数据恢复研究人员、高校教师、电子取证工程师、技术...
  • 扫描提示 The Undo command will not beavailable after this operation because of the specified undo limit of 20 MB. 需要在菜单 options--options-undo-第一个选择取消 ...alt+F5 调试 32bat bing endian
  • 【转】数据恢复WINHEX教程

    千次阅读 2009-11-27 06:14:00
    数据恢复分类 硬恢复和软恢复。所谓硬恢复就是 硬盘出现物理性损伤,比如有盘体坏道、电路板芯片烧毁、盘体异响,等故障,由此所导致的普通用户不容易取出里面数据,那么我们将它修好,同时又保留里面的 数据或后来...
  • winhex数据恢复入门教程

    千次阅读 2020-11-15 13:52:10
    Winhex是X-Ways公司出品的一款十六进制编辑、磁盘编辑软件,其公司网站... 附带数据恢复功能 可以访问物理内存及虚拟内存 内置数据解释器,可以识别解释20种数据类型 可以用数据结构模板查看、编辑结构数据
  • winhex数据恢复教程1.数据恢复基础课 -2018-05-12 11:221.为什么要学winhex手工恢复数据-2018-05-12 11:222.数据恢复环境之虚拟磁盘-2018-05-12 11:223.数据恢复软件之winhex的使用-2018-05-12 11:224.通用的数据...
  • winhex数据恢复软件

    2020-12-18 11:42:40
    需要编辑磁盘底层文件,或者查看文件底层结构,或者需要恢复数据的可以下载用
  • 使用WinHex恢复U盘数据的方法,U盘数据丢失,可以利用改方法进行修复
  • 1、Winhex数据恢复软件的界面上的所有功能已经介绍了一遍,最主要的还是编程恢复的能力。 今天主要看看记事本的编辑恢复及其相关的一些问题,记事本的 编辑值是ASCII值,所以没有文件的特征头格式,将winhex编辑...
  • winhex数据恢复

    2018-03-27 12:32:51
    winhex数据恢复

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,781
精华内容 1,112
关键字:

数据恢复winhex